BlackRota achterdeur
BlackRota is een achterdeurbedreiging geschreven in de programmeertaal Go. BlackRota maakt gebruik van een kwetsbaarheid voor ongeautoriseerde toegang in de Docker Remote API. De dreiging kan zowel 64-bits als 86-bits architecturen in gevaar brengen, maar werkt alleen op Linux-systemen. Een uniek kenmerk van BlackRota is het hoge niveau van verduistering dat is geïmplementeerd door de hackers die verantwoordelijk zijn voor de dreiging. Het komt uiterst zelden voor dat malware die in Go is geschreven dergelijke intensieve versluieringsmaatregelen bevat. De infosec-onderzoekers die BlackRota hebben geanalyseerd, stellen zelfs dat dit de meest verduisterde Go-malware is die ze tot nu toe zijn tegengekomen.
Na zijn doelwit te hebben geïnfiltreerd, stelt BlackRota vast wat de onderzoekers een 'geacon' noemden. Het vertegenwoordigt een baken waarmee de malware communiceert met zijn Command-and-Control-server om opdrachten te ontvangen en verzamelde gegevens te exfiltreren. Het specifieke baken dat in BlackRota is geïmplementeerd, werd eerder gebruikt door CobaltStrike, een malwaretool die door bedreigingsactoren wordt gebruikt om ransomware te verspreiden. Een van de bedreigende functionaliteiten die beschikbaar zijn voor BlackRota is de mogelijkheid om shell-commando's uit te voeren, een browser uit te voeren, bestanden te uploaden en downloaden van het gecompromitteerde systeem, mappen te wijzigen of een slaapvertragingstimer in te stellen.
Om potentiële onderzoekers ervan te weerhouden het te reverse-engineeren, gebruikt BlackRota verschillende verduisteringstechnieken. Ten eerste maakt het gebruik van een open-source tool voor code geschreven in Go genaamd gobfuscate, wat resulteert in verschillende elementen van de onderliggende code van de malware, zoals globale variabelen en pakketnamen, methodenamen, typenamen en functienamen die achter willekeurige tekens worden verborgen. vervangingen. Dezelfde gobfuscate-app is ook verantwoordelijk voor het coderen van alle strings van de code met de XOR-cryptografische codering. Elke BlackRota-string wordt tijdens de uitvoering dynamisch gedecodeerd.
Het analyseren van door Go geschreven code levert op zichzelf uitdagingen op vanwege de manier waarop binaire bestanden worden gebouwd. Door het gebruik van volledig statische bibliotheken worden de bijbehorende binaire bestanden relatief groot. Wanneer onderzoekers zo'n bestand openen in een demontagetool, krijgen ze mogelijk tienduizenden functies te zien, die, als de overeenkomstige symboliek ontbreekt, de tijd die nodig is om tot een acceptabele analyse te komen, enorm zou kunnen verlengen.
